MuddyViperi tagauks
Hiljutine spionaažilaine on sihtmärgiks võtnud laia valikut Iisraeli organisatsioone akadeemilistes ringkondades, inseneriteadustes, kohalikus omavalitsuses, tootmises, tehnoloogias, transpordis ja kommunaalteenuste valdkonnas. Operatsioon, mida omistatakse Iraani riigiga seotud tegelastele, tutvustas seni tundmatut tagaust nimega MuddyViper, mis andis märku rühmituse taktika uuest eskaleerumisest. Samuti tabati üks Egiptuses asuv tehnoloogiaettevõte, kampaania kestis 2024. aasta septembri lõpust kuni 2025. aasta märtsi keskpaigani.
Sisukord
Tuttav vastane laienevate võimalustega
Rünnakuid on seostatud MuddyWateriga, tuntud ka kui Mango Sandstorm, Static Kitten või TA450, mis on hinnanguliselt tegutsev Iraani luure- ja julgeolekuministeeriumi alluvuses. MuddyWateril, mis on tegutsenud vähemalt alates 2017. aastast, on pikk ajalugu spionaažis ja hävitavates tegudes, sealhulgas varasemates POWERSTATSi kampaaniates ja PowGoopi lunavara kasutamises operatsiooni Quicksand ajal.
Avaldatud järelduste kohaselt jätkab rühmitus rünnakuid Iisraeli sihtmärkidele, sealhulgas kohalikele omavalitsustele, õhutranspordile, turismile, tervishoiuteenustele, telekommunikatsioonivõrkudele, IT-teenuse pakkujatele ja VKEdele.
Nende arenev käsiraamat: sotsiaalsest manipuleerimisest VPN-i nõrkuste ärakasutamiseni
Tavaliselt tugineb ohutegija juurdepääsuks õngitsuskirjadele ja teadaolevate VPN-i haavatavuste kuritarvitamisele. Varem hõlmasid need sissetungid legitiimsete kaughaldustööriistade kasutamist – see on MuddyWateri tegevuse tunnusjoon. Alates 2024. aasta maist on nende õngitsuskirjad aga hakanud edastama varjatud tagaust, mida tuntakse kui BugSleep (nimetatakse ka MuddyRotiks), mis näitab nihet kohandatud tööriistade poole.
Grupi laiem arsenal on ulatuslik ja hõlmab Blackouti, AnchorRati, CannonRati, Neshtat ja Sad C2 raamistikku, mis aitab levitada laadureid nagu TreasureBox ja BlackPearl RAT.
Andmepüük jääb esimeseks sammuks
Viimane rünnakulaine algab endiselt pahatahtlike meilidega, mis sisaldavad PDF-manuseid. Need PDF-failid suunavad ohvrid laialdaselt kasutatavate kaugtööriistade (nt Atera, Level, PDQ ja SimpleHelp) allalaadimiste juurde. Kui ründajad on jalad alla saanud, liiguvad nad spetsiaalsemate komponentide juurutamise poole.
Tutvustame Fooderit ja MuddyViperit
Selles kampaanias on silmapaistvalt esile tõstetud laadur nimega Fooder, mis on loodud C/C++-põhise MuddyViperi tagaukse dekrüpteerimiseks ja käivitamiseks. Fooderi variante on nähtud ka go-socks5 tunnelimise utiliitide ja avatud lähtekoodiga HackBrowserData tööriista levitamas, et koguda brauseriandmeid arvukatelt platvormidelt (välja arvatud Safari).
MuddyViper ise annab ulatusliku kontrolli, võimaldades operaatoritel koguda süsteemiandmeid, käivitada faile ja käske, andmeid sisse ja välja liigutada ning varastada Windowsi sisselogimisandmeid ja brauseriteavet. See toetab 20 sisseehitatud käsku varjatud juurdepääsu säilitamiseks. Mõned Fooderi variandid maskeerivad end klassikaliseks Snake'i mänguks ja tuginevad kõrvaleastumise tuvastamiseks viivitatud täitmisele, tehnikale, mida esmakordselt täheldati 2025. aasta septembris.
Töö käigus täheldatud täiendavad tööriistad
Teadlased dokumenteerisid ka mitmete tugiteenuste juurutamist, mis olid loodud püsivuse, volituste varguse ja andmete kogumise jaoks:
VAXOne – Tagauks, mis maskeerub Veeami, AnyDeski, Xeroxi või OneDrive'i uuendajaks.
CE-märkmed – brauseriandmete varguse tööriist, mis on loodud Chrome'i rakendusepõhisest krüptimisest möödahiilimiseks, varastades kohaliku riigi krüptimisvõtme.
Blub – AC/C++ varastav programm, mis kogub sisselogimisandmeid Chrome'ist, Edge'ist, Firefoxist ja Operast.
LP-Notes – AC/C++ mandaatide kogumise tööriist, mis kuvab petturliku Windowsi turbeviipe, et petta kasutajaid oma sisselogimisandmeid sisestama.
Koostöö Lyceumiga: ilmneb tegevusalane kattumine
Juurdlus näitas, et MuddyWateri tegevus oli seotud Lyceumi (tuntud ka kui Hexane, Spirlin või Siamesekitten) tegevusega, mis on OilRigi (APT34) alamrühm ja on tegelenud piirkondliku küberspionaažiga vähemalt alates 2018. aastast.
2025. aasta alguses tuvastatud intsidentide ajal tegutses MuddyWater tõenäoliselt Iisraeli tootmisorganisatsiooni esmase juurdepääsu vahendajana, juurutades kaugtöölaua tööriistu ja kohandatud Mimikatz-laadurit. Varastatud volitusi kasutas Lyceum tõenäoliselt juurdepääsu laiendamiseks ja operatiivse kontrolli omandamiseks.
Märk kasvavast tegevusküpsusest
Uute komponentide, eriti Fooderi laaduri ja MuddyViperi tagaukse kasutuselevõtt rõhutab märkimisväärset edasiminekut MuddyWateri tehnilises ja operatiivses keerukuses. Grupp investeerib selgelt salajasematesse püsivusmehhanismidesse, tõhusamatesse volituste vargustesse ja sügavamatesse luurevõimalustesse.
Kampaania rõhutab jätkuvat ja laienevat ohtu Iraaniga seotud küberoperaatoritelt. Nende kohandatud pahavara, varjatud laadurite, legitiimsete kaughaldustööriistade ja rühmadevahelise koostöö kombinatsioon viitab sellele, et piirkonna organisatsioonid peavad olema kõrgendatud valvel ja tugevdama kaitset üha keerukamate sissetungimisstrateegiate vastu.
